Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2017R0589_EN.18. Ouvrir le PDF.
Article 17 – Contrôles post-négociation ⬅️ | ➡️ Article 19 – Dispositions générales pour l’AED
Références LVL1 <=> LVL2
Level 1 reference(s): 2014L0065_FR.17 > 1
Article 18 - Sécurité et limites d’accès
1.
Les entreprises d’investissement mettent en œuvre une stratégie informatique comportant des objectifs et des mesures clairement définis:
a)
qui est conforme à leur stratégie économique et à leur stratégie en matière de risques et adaptée à leurs activités opérationnelles et aux risques auxquels elles sont exposées;
b)
qui se fonde sur une organisation informatique fiable, y compris en matière de service, de production et de développement;
c)
qui correspond à une gestion efficace de la sécurité informatique.
2.
Les entreprises d’investissement établissent et maintiennent des dispositifs appropriés de sécurité physique et électronique qui réduisent au minimum les risques d’attaques contre leurs systèmes informatiques et incluent une gestion efficace en termes d’identification et d’accès. Ces dispositifs garantissent la confidentialité, l’intégrité, l’authenticité et la disponibilité des données ainsi que la fiabilité et la robustesse des systèmes informatiques des entreprises d’investissement.
3.
Les entreprises d’investissement informent sans délai l’autorité compétente de toute atteinte importante à leurs mesures de sécurité physique et électronique. Elles fournissent à l’autorité compétente un compte rendu d’incident indiquant la nature de l’incident, les mesures adoptées après sa survenue et les initiatives prises pour éviter que des incidents similaires ne se produisent.
4.
Les entreprises d’investissement effectuent une fois par an des tests d’intrusion et des analyses de vulnérabilité pour simuler des cyberattaques.
5.
Les entreprises d’investissement veillent à être en mesure d’identifier toutes les personnes ayant des droits d’accès critiques à leurs systèmes informatiques. Les entreprises d’investissement restreignent le nombre de ces personnes et surveillent leur accès à leurs systèmes informatiques pour que la traçabilité soit assurée à tout moment.